背景:
某天周末开着黑,打着游戏,吹着牛逼,突然就被一条消息给打断了。。。
。
经过分析发现可能是因为服务器账号密码设置太简单,实验室服务器使用frp后,被人下了挖矿脚本cnrig xmrig占用了全部。所以只能连夜迁移数据并重装系统(因为怕留后门,怕以后服务器上大量的数据被人删掉或者被勒索),痛定思痛决定给服务器加上二次验证,只允许指定ip来访问端口,避免不正常的ip来扫描我的端口,花了一天时间写个通过iptables进行验证的小程序。(其实肯定有大佬想到了,为啥不手动在服务器上添加允许访问的ip,首先服务器不是我的,是师弟的,万一我临时换了地点需要用的时候就麻烦了,流程:通知我师弟->师弟找台电脑->登录控制台->添加放行的ip和端口,任一环节出现问题我就用不到)
同时完整代码和程序也发布到了github:(flask部分已经添加上去了,配置应该就可以用了)GitHub - wu8320175/python-iptables-: 使用python-iptables 做服务器指定端口访问二次验证
实现的功能如下:
1. 指定的端口,首先所有ip都不能访问,然后根据web服务验证的结果允许该ip来访问指定端口。
2.将以上功能封装成web服务,先在网页端通过 二级密码 来允许当前ip的访问服务器,当前ip才能访问目的ip和端口,比如ssh服务,http等。
给个图示:(以下只是我定义的各种名词,专业大佬轻喷,这只是迎合我现在的需求做的)
使用工具:
Python,python-iptables库,flask (用于web服务)
原因:跑实验一直用的python,熟悉且简单,网上一搜关于python的linux访问端口控制,巧了人家有现成的对iptables控制的包。然后是WEB服务,还好之前学过一点,php,django啥的前后端还算会用,最后挑了flask,搭个服务更简单,只需要装个包就行,都不需要额外的服务器配置,美滋滋。
首先python-iptables库安装和使用
pip install --upgrade python-iptables
然后是官方网站:GitHub - ldx/python-iptables: Python bindings for iptables
#
import iptc
# 增删改查
table='filter'
chain='INPUT'
#初始拒绝所有对该端口的访问
def init_port(port):
#先禁止所有对指定端口的访问
if find_reject_port(port) is None:
rule_d = {'protocol': 'tcp', 'target': 'REJECT', 'tcp': {'dport': port}}
iptc.easy.insert_rule(table,chain,rule_d)
return True
return False
#查找对应端口是否已经设置禁止访问
def find_reject_port(port):
for i in iptc.easy.dump_chain(table,chain):
if 'src' not in i:
if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
return i
return None
#删除对应的端口的禁止权限,并清除该端口下的所有ip
def delete_reject_port(port):
res=find_reject_port(port)
if res is not None:
#清除端口
iptc.easy.delete_rule(table,chain,res)
#清除该端口下的所有ip
for i in iptc.easy.dump_chain(table,chain):
if 'src' not in i:
if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
iptc.easy.delete_rule(table,chain,i)
return True
return False
#添加ip和指定端口 允许该ip访问该端口
def add_ip(ip,port):
if find_ip(ip,port) is None:
rule_d = {'protocol': 'tcp','src':ip, 'target': 'ACCEPT', 'tcp': {'dport': port}}
iptc.easy.insert_rule(table,chain,rule_d)
return True
return False
#查找指定ip和端口
def find_ip(ip,port):
for i in iptc.easy.dump_chain(table,chain):
if 'src' in i and ip in i['src']:
if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
return i
return None
#查找某ip下设置的所有端口
def find_all_ip_ports(ip):
port_list=[]
for i in iptc.easy.dump_chain(table,chain):
if 'src' in i and ip in i['src']:
if 'tcp' in i and 'dport' in i['tcp']:
port_list.append(i['tcp']['dport'])
return port_list
#删除对应ip和端口,禁止该ip访问对应端口
def delete_ip(ip,port):
res=find_ip(ip,port)
if res is not None:
iptc.easy.delete_rule(table,chain,res)
return True
return False
#将某ip允许访问的端口设置为另一个端口
def update_ip_port(ip,raw_port,des_port):
delete_ip(ip,raw_port)
add_ip(ip,des_port)
#检测端口是否合法,并且只允许在low-high的范围
import re
value = re.compile(r'^\d+?$')
def check_port(port,low,high):
#low,high 限制端口的范围
if not isinstance(port,str):
port=str(port)
result = value.match(port)
if result and low<=int(port) and int(port)<=high:
return port
else:
return None
# 检查当前设置的port是否在port_list内
def check_port_list(port,port_list):
if not isinstance(port,str):
port=str(port)
result = value.match(port)
if result and int(port) in port_list:
return port
else:
return None
使用示例example:
#先检查端口是否合法
if check_port('6001',6000,7000):
#you code here
pass
#初始化指定端口 拒绝所有访问
init_port("6001")
#删除6001的端口的拒绝访问
# delete_reject_port('6001')
#只允许'192.168.0.1' 访问6001端口
add_ip('192.168.0.1','6001')
#只允许'192.168.0.2' 访问6001端口
add_ip('192.168.0.2','6001')
# 禁止'192.168.0.2' 访问6001端口
delete_ip('192.168.0.2','6001')
#...随意发挥
。。。接下来是flask部分,通过flask写了一个web通过口令来放行对应端口,如果其他读者有兴趣的话,我接着写。
新版增加点样式好看点。。。